近日，安天 CERT（安全研究與應急 處理中心）在梳理網絡安全事件時發現一 種 名 為 ProximityUntilCache32.tlb 的 挖 礦 木馬開始活躍。該挖礦木馬的背后是一個 僵尸網絡，從 2017 年被發現一直活躍。它 使用 NSA 泄漏的漏洞利用工具進行傳播， 感染受害機器并用于挖取門羅幣。

     該挖礦木馬有多個版本，通過不同的 C2 域名進行區分，其中包話 eee.asf3r23. cf、*.drawal.tk 等。樣本壓縮包中 Crypt 文 件為 NSA 漏洞利用工具包，運行后利用 該工具進行傳播并執行挖礦主程序。Crypt 解 壓 后 將 文 件 釋 放 到 %win_dir%\IME\ Crypt\ 并執行。spoolsv.exe 會傳播 payload DLL 到其他機器中，該 DLL 首先會創建 互斥量，檢查本機是否存在已感染的文件， 之后解壓惡意代碼并釋放，注冊自身為系 統服務，實現自啟動。后續新版本中會包 含名為 srv 的 DLL 文件，它可以檢查自啟 動的情況，讀取注冊表中的 C2 地址，連 網請求最新的配置文件，還可以回傳當前 進程的運行情況。它還使用了 DGA 隨機 產生域名的手法以逃避檢測。

     安天 CERT 提醒廣大政企客戶，要提 高網絡安全意識，在日常工作中要及時進 行系統更新和漏洞修復，不要隨意下載非 正版的應用軟件、非官方游戲、注冊機等。 收發郵件時要確認收發來源是否可靠，更加不要隨意點擊或者復制郵件中的網址， 不要輕易下載來源不明的附件，發現網絡 異常要提高警惕并及時采取應對措施，養 成及時更新操作系統和軟件應用的好習 慣。確保沒有任何計算機運行直接連接到 Internet 的遠程桌面服務，而是將運行遠程 桌面的計算機放在 VPN 之后，只有使用 VPN 才能訪問它們。同時也要做好文件的 備份，以防止勒索軟件加密重要文件后無 法恢復。

      目前，安天追影產品已經實現了對該 類惡意代碼的檢出。